Active Directory Recycle Binの利用に必要な権限 (1)

 
Active Directory Recycle Binを利用する(利用したい)ケースとして
「特定のOU内の管理者(部門管理者)が間違って、ユーザーを削除してしまったとき、自分の責任でユーザーを復元する」
こんなことがあると思います。
 
このときに、どのような権限があれば復元できるのだろうか?と思いました。
最初は、軽い気持ちで「Administratorsグループのメンバーなら誰でもOKだろ」なんて思って
Active Directory Recycle Binを使おうとしたら、削除どころか、Deleted Objectsコンテナにもアクセスできない!
ということでマジメに確認してみることにしました。
 
 
まずは、検索エンジン。
Windows Server 2008 RTMでは、サポート技術情報のKB892806に書いてある内容を実践すれば良いということを見つけました。
しかし、Windows Server 2008 R2のRecycle Binが有効になっているケースでも当てはまるのか、よくわかりません。
そこで、R2環境で実際に試してみることにしました。
 
Active Directory Recycle Binを利用するために必要な操作を確認しておくと、
次のとおりですね。
 
1.Import-Module ActiveDirectoryの実行
2.Active Directory Recycle Binの有効化
3.削除されたオブジェクトの参照
4.削除されたオブジェクトの復元
 
このうち、1.は管理者だったら誰でもできる操作であり、2.は一度だけ実行すればよい操作なのでAdministratorがやればよい、
ということで、3.と4.が一般的に管理者だったら必要な操作ということになると思います。
 
 
では、まず「3.削除されたオブジェクトの参照」について。
これは、上記のサポート技術情報の操作がそのまま使えることが確認できました。
操作としては、 

C:>dsacls "cn=deleted objects,dc=example,dc=com" /takeownership
C:>dsacls "cn=deleted objects,dc=example,dc=com" /g examplekunii:LCRP
1行目のdsaclsコマンドで、アクセス許可を変更できるよう、所有者になり、
2行目のdsaclsコマンドで、kuniiユーザーにdeleted objectsコンテナへのLC(List Contents)とRP(Read Property)の
アクセス許可を与えています。
このアクセス許可を与えるために必要なアクセス許可として、1行目のdsaclsコマンドを実行し、
deleted objectsコンテナへの所有者を取得しています。
 
ここまでの状態で、該当ユーザー(このケースではkuniiユーザー)でログオンし、
 
Get-ADObject -Filter {objectClass -eq "User"} -IncludeDeletedObject
 
と実行すれば、一覧を確認することができます。(つまり、3.はクリアってことですね)
だけど、実行結果を見ると、Deletedの属性がTRUEと表示されません。
これが後にやっかいな結果を引き起こすことになります。
 
 
 
 
「4.削除されたオブジェクトの復元」の部分については、手順がまとまりましたら、改めて書きたいと思います。
と言っている間に、どなたかが(もしくはMSさんで)紹介してくださるかもしれないですね。(期待を込めて)